2. 질의 응답
  3. 현재 NT 커널 로거 찾기

현재 NT 커널 로거 찾기

2015-02-03 3 views
0

Windows 커널 용 이벤트 추적을보고 있는데, 설명서와 일부 테스트에 따르면 이미 커널 로거가 실행 중이면 API가 ERROR_ALREADY_EXISTSStartTrace으로 전화하십시오. 당신이 EVENT_TRACE_CONTROL_QUERYControlTrace를 호출 할 경우현재 NT 커널 로거 찾기

, 현재 로깅 세션의 스레드 ID를 얻을 수 있지만, Windows 커널에 의해 처리됩니다 세션의 출시 이후, 나는 항상 시스템 프로세스에 속한 스레드 ID를 얻을 수 (PID = 4).

제 질문은 : 은 정말 로깅 세션을 시작했는지 확인할 수 있습니까?

감사합니다.

출처

2015-02-03 ALOToverflow

답변

0

"누가 정말로 로깅 세션을 시작했는지 확인할 수 있습니까?" 당신이 말한대로 그것은 시스템 프로세스에 의해 시작됩니다. 시스템 프로세스는 커널 레벨 파일, 디스크, 프로세스 활동을 모니터링하기 시작하고 NT 커널 로거 세션을 활성화합니다. 이미 시작된 경우 세션을 시작한 사람이 누군지 알 수 없습니다.

출처

2015-03-06 10:41:15 user2210121

+0

확인. 그러나 커널 로깅 세션을 시작하려면 중단하려는 사람을 파악하는 것이 유용 할 수 있습니다. – ALOToverflow

+0

그 방법을 모르겠다면 ..... 그러나 자신의 소비자를 만들면 언제든지 자신의 소비를 중지하고 NT 커널 세션을 닫지 않을 수 있습니다 (사용자가 시작하지 않은 경우). – user2210121

+0

기다려주십시오. NT 커널 로거 세션을 두 개 이상 가질 수 있다고 하시겠습니까? 내가 지금까지 읽은 모든 것은 다르게 말한다. – ALOToverflow

 관련 문제

  • 관련 문제 없음^_^